ซอฟต์แวร์
แอปพลิเคชันบนมือถือ
เช็คความเร็วเน็ต (Speedtest)
เช็คไอพี (Check IP)
เช็คเลขพัสดุ
สุ่มออนไลน์
เครื่องมือคำนวณวันออนไลน์
เตือนภัยผู้ใช้ macOS ระวังมัลแวร์ตัวใหม่ SHub Reaper มีความสามารถขโมยข้อมูลได้หลากแบบ
Sarun_ss777
macOS ที่ปลอดภัยสูงนั้นน่าจะกลายเป็นแค่ตำนานไปแล้ว จากการที่ในระยะหลังนั้นเริ่มมีมัลแวร์จำนวนมาก หลากรูปแบบที่มุ่งหวังจะเข้าโจมตีระบบ macOS โดยเฉพาะ และนี่ก็คงเป็นมัลแวร์อีกตัวที่ผู้ใช้งานจะต้องระวัง
จากรายงานโดยเว็บไซต์ Techrepublic ได้กล่าวถึงรายงานจากทีมวิจัยแห่ง SentinelOne บริษัทผู้พัฒนาเครื่องมือรักษาความปลอดภัยไซเบอร์ในระดับองค์กร ที่มีการตรวจพบมัลแวร์ประเภทเข้าขโมยข้อมูลจากเหยื่อ หรือ Infostealer ตัวใหม่ที่มีการมุ่งเน้นการโจมตีไปยังกลุ่มผู้ใช้งานระบบปฏิบัติการ macOS โดยเฉพาะ โดยมัลแวร์ดังกล่าวนั้นมีชื่อว่า SHub Reaper ซึ่งเป็นสายพันธุ์ย่อยในตระกูล SHub อีกทีหนึ่ง
- พบแพ็คเกจ npm สี่ตัว มีการซุกมัลแวร์ขโมยข้อมูล และ Phantom Bot ไว้ ติดตั้งแล้วติดแน่นอน
- ไมโครซอฟท์ทลายบริการลายเซ็นดิจิทัลที่ออกใบรับรองเถื่อนให้กับมัลแวร์ หลังพบพัวพันกลุ่มแรนซัมแวร์
- เครื่องมือเก่าแก่ของ Windows "MSHTA" ถูกพบว่าถูกนิยมในการใช้เป็นช่องทางส่งมัลแวร์เข้าเครื่อง
- นักวิจัยพบ แฮกเกอร์ใช้ PyInstaller ซ่อนมัลแวร์ Xworm ไว้ภายใน แล้วปลอมเป็นอัปเดตปลอมหลอกเหยื่อ
- ตรวจพบแฮกเกอร์ใช้ Google Ads ควบแชร์แชทจาก Claude.ai ในการทำโฆษณาปลอมปล่อยมัลแวร์
มัลแวร์ตัวนี้มีความสามารถในการขโมยข้อมูลหลากหลายรูปแบบ เช่น รหัสผ่านบนเว็บเบราว์เซอร์ (ครอบคลุมเว็บเบราว์เซอร์หลากชนิด เช่น Chrome, Firefox, Brave, Edge, Opera, Vivaldi, Arc, และ Orion), ข้อมูลบนกระเป๋าคริปโตเคอร์เรนซี (Crypto Wallet) โดยครอบคลุมกระเป๋าเงินแบบส่วนเสริมของเว็บเบราว์เซอร์ (Extension) มากมาย เช่น Exodus, Atomic, Ledger Live, Electrum, และ Trezor Suite, ไฟล์การตั้งค่าของเหล่านักพัฒนาซอฟต์แวร์ (Developer Configuration Files), ข้อมูล Session การใช้งานแอปพลิเคชันแชท Telegram, และ ข้อมูลต่าง ๆ ของผู้ใช้งานบริการ Apple เช่น ข้อมูลบน Keychain และ iCloud เป็นต้น นอกจากนั้นยังมีการใช้เครื่องมืออย่าง Filegrabber ในการสแกนหาไฟล์ที่เกี่ยวข้องกับธุรกิจ ที่มีสกุลไฟล์ .docx, .doc, .wallet, .key, .keys, .txt, .rtf, .csv, .xls, .xlsx, .json, และ .rdp โดยจำกัดขนาดไฟล์ไว้ที่ 150MB ทั้งยังมีการใช้เครื่องมือสแกนไฟล์รูปสกุล .PNG ที่มีขนาดเล็กกว่า 6MB และไฟล์ขนาดเล็กอื่น ๆ ที่เล็กกว่า 2MB อีกด้วย โดยไฟล์ที่ขโมยมาได้ทั้งหมดจะถูกเก็บไว้ที่โฟลเดอร์ /tmp/shub_/ ซึ่งข้อมูลที่ขโมยได้ทั้งหมดจะถูกลักลอบส่ง (Exfiltration) ไปยังเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) ในรูปแบบไฟล์บีบอัดแบบ .Zip
ในด้านการแพร่กระจายมัลแวร์นั้น จะเริ่มต้นจากการใช้วิธีการแบบวิศวกรรมทางสังคม หรือ Social Engineering ด้วยการสร้างเว็บไซต์ปลอมเป็นเว็บไซต์ของแอปพลิเคชันชื่อดัง เช่น Miro และ WeChat โดยระหว่างดาวน์โหลดนั้น URL ที่มาของไฟล์จะเป็น URL ที่ทำเลียนแบบโครงสร้างพื้นฐาน (Infrastructure) ของทางไมโครซอฟท์ เพื่อหลีกเลี่ยงความน่าสงสัยของที่มาที่ไป ซึ่งหลังจากที่มัลแวร์ถูกกดติดตั้ง ตัวมัลแวร์ก็จะร้องขอสิทธิ์ (Permission) ในการเข้าถึงระบบจากเหยื่อในทันที เพื่อหลีกเลี่ยงระบบตรวจจับการหลอกลวงแบบ ClickFix (ระบบหลอกลวงว่าเกิดข้อผิดพลาด เพื่อให้เหยื่อรันสคริปท์ดาวน์โหลดและติดตั้งมัลแวร์ตามคำสั่งของแฮกเกอร์) ซึ่งตามปกติจะเป็นการหลอกให้เหยื่อวางสคริปท์บนแอป Terminal แล้วรัน สำหรับในกรณีนี้ตัวมัลแวร์จะใช้สคริปท์ที่ขึ้นต้นว่า applescript:// URL เพื่อให้ตัวสคริปท์ถูกโหลดขึ้นไปก่อน (Preloaded) ไปยังตัว Editor ของ macOS ซึ่งจะทำให้เหยื่อมีหน้าที่แค่กดรัน แล้วป้อนรหัสผ่าน (Password) ของระบบ โดยรหัสผ่านที่เหยื่อโดนหลอกป้อนจะถูกนำเอาไปถอดรหัส (Decryption) รหัสผ่านต่าง ๆ ที่อยู่บนระบบทั้งหมด
นอกจากนั้นตัวมัลแวร์ยังมีความสามารถในการคงทนตัวเองอยู่บนระบบ (Persistence) ด้วยการใช้ไฟล์สคริปท์ที่ถูกเข้ารหัสแบบ Base64 ซึ่งถูกตั้งชื่อเลียนแบบชื่อไฟล์ของ Google Software Update โดยใช้ชื่อว่า GoogleUpdate โดยไฟล์สคริปท์ดังกล่าวถูกตั้งค่าให้ติดต่อกับเซิร์ฟเวอร์ C2 ทุก 60 วินาที เพื่อรับคำสั่งในการสั่งการมัลแวร์ รวมทั้งเปิดช่องให้สามารถติดตั้งมัลแวร์เพิ่มเติม ซึ่งมักจะเป็นมัลแวร์แบบเปิดประตูหลังของระบบ (Backdoor) ไม่เพียงเท่านั้น ช่องทางนี้ยังใช้ในการลักลอบส่งไฟล์ (Exfiltration) ออกไปยังเซิร์ฟเวอร์อีกด้วย
ที่มา : www.techrepublic.com
คำสำคัญ »
|
|
ข่าวไอทีที่เกี่ยวข้อง
แสดงความคิดเห็น
ข่าวไอทีแนะนำ
ข่าวประชาสัมพันธ์
Thaiware.com is owned and operated by Thaiware Communication Co., Ltd.